各种网络环境下的综合防范

Episode VI

各种网络环境下的综合防范

3

单机的防范特点

• 最基本的防护点

• 最容易控制，本地登录用户对本机

操作拥有比较大的权限，很多防范

工作容易展开

• 成熟的手段和产品较多

• 防范重点：严防“

病”

从“

口”

入

• 新的软件可能带来新的风险

4

单机防范的技术要点

• 从硬盘引导系统

• 关闭BIOS

升级功能，底板跳线设为

Disable

iseaDbl

• 安装正式版的反病毒软件，保留一套

DOS

下的杀毒软件，并启用实时监控功

能

• 定时升级病毒数据库和反病毒软件

• Windows NT/2000/XP/2003

等操作系统

经常打补丁

5

单机防范的技术要点（续）

• 备份系统关键数据，如MBR

，BOOT

等

• 经常备份重要的文档、用户数据等

• 在使用外来软盘/

光盘/U

盘前先查毒

• 将操作系统、应用程序和用户文件分别

放在不同的分区（盘符）

• 在Word/Excel/PowerPoint

等软件中开启

“

宏病毒保护”

功能

6

单机防范的技术要点（续）

• 关闭Outlook/Outlook Express

lseoxuOoptkr 的邮件预

览功能

• 在IE

浏览器中正确设置安全等级

• 在各种媒体播放器（Windows Media

Player

lraPye

、Real Player

leraRPlye

等）中设置无效的代

理服务器，防止流媒体文件访问网络

• 关闭Windows

snWdiow

的Active Desktop

和“

按

Web

bWe

页查看”

功能

• 关闭所有磁盘的“

自动播放”

功能

7

单机防范的技术要点（续）

• 使用Windows

snWdiow

传统风格的文件夹，并选

择查看所有文件，显示已知的文件类型

（后缀名）

• 对下载、接收的软件先查毒后运行

• 不随便打开邮件的附件、硬盘上的可疑

文件

• 关闭不需要的网络应用服务

• 安装个人防火墙（或者打开WinXP/2003

自带的防火墙）、反间谍软件

8

单机防范方法

• 安装杀毒软件并启用自动更新

• 经常升级操作系统补丁和重要应用程序

补丁

• 安全地设置常用应用程序的运行参数

• 配置合适的IE

设置选项

• 设置合理的桌面、文件夹选项

• 定期检查注册表、启动菜单

• 关闭不必要的服务进程

• 安装个人防火墙、反间谍软件

• 做好备份

9

小型局域网络

Internet

File Server

PCs

Switch

Notebook computer

10

小型局域网络的防范特点

• 避免交叉感染

• 核心地带控制

• 统一各台机器防护的程度

• 及时打补丁很重要

11

小型局域网络防范的技术要点

• 对各工作站包含所有单机的防范措施

• 按需开设文件共享及权限，并且及时关

闭；共享必须设密码或使用用户级访问

控制

• 对于Windows NT/2000/XP/2003

操作系

统使用NTFS

划分分区，服务器不应该

有FAT/FAT32

分区

• 服务器上安装网络版的反病毒软件

12

小型局域网络防范的技术要点（续）

• 控制用户的访问权限，启用对象级的安

全机制

• 尽量不直接在服务器上使用Office

、

Outlook

等应用程序；尽量不用服务器直

接上网浏览

• 利用登录脚本功能实现工作站上的反病

毒软件自动升级和病毒数据库的自动更

新

13

小型局域网络防范的技术要点（续）

• 服务器本身必须物理上绝对安全

• 对服务器上的文件定期备份

• 在工作站上尽量少用超级用户帐号登录

服务器

• 经常对服务器和工作站进行安全评估，

并安装最新的补丁程序

14

小型局域网络防范概要

Internet

File Server

PCs

Switch

Notebook computer

服务器版

客户端版

中央控管服务器

（可选）

15

大型网络

Internet

Web

bWe

DNS

Switch

AD

Exchange

Server

. . .

Extranet/DMZ

Intranet

Hub

Router

FW

Back bone

Switch

16

大型网络的病毒防范（续）

• 在因特网接入口处安装网关型反病毒产

品

• 在外网安装网络版反病毒软件，并对整

个外网进行实时监控

• 外网上如果有工作站，需要进行单机防

范布防

• 在各个应用服务器上安装对应的反病毒

软件，如在Exchange Server

rvxhESceaenge

上安装For

Exchange

的反病毒软件

• 在每个内网参照小型局域网的防范要点

布防

17

大型网络的病毒防范（续）

• 安装集中式的防杀病毒管理中心，便于

管理反病毒软件

• 桌面反病毒软件尽量采用同一厂商的产

品，并尽量与网关防毒产品品牌不同，

要具有远程查毒功能，便于管理，并且

不会产生防范病毒的薄弱环节

• 建立严格的规章制度和操作规范，制定

完善的反病毒策略；定期检查各防范点

的工作状态

• 考虑移动工作站（便携机）的反病毒策

略和潜在的危险

18

大型网络病毒防范概要

Internet

Web

bWe

DNS

Switch

AD

Mail

Server

. . .

Extranet/DMZ

Intranet

Hub

Router

FW

Back bone

Switch

集中控管

中心

防毒网关

服务器版

客户端版

AV For Mail server

19

网络化病毒防杀体系

Firewall

Internet

File Server

Client

Internet Gateway

网关病毒防杀

网关病毒防杀

服务器病毒防杀

服务器病毒防杀

for NT

for NetWare

Server

客户端病毒防杀

客户端病毒防杀

客户端病毒服务器

客户端病毒服务器

Central Control

Mail Server

邮件病毒防杀

邮件病毒防杀

for Exchange

for Lotus Notes

Client

病毒管理控制中心

病毒管理控制中心

Online Scan Server

Scan On Guard

Scan On Guard

手工

笔记本

20

跨地域的集团网络

直属单位

DD aattaa GG ee nnee rraa ll 分中心

省公司

DDaa ttaa GG ee nnee rr aa ll 地区

分中心

集团总公司

DDaattaa GG eennee rraall 总控中心

省公司

DDaa ttaa GG ee nnee rr aa ll 地区

分中心市县公司n

DD aattaa GG ee nnee rraa ll

分中心

市县公司1

DD aattaa GG ee nnee rraa ll

分中心…

21

病毒防范的管理制度

• 1.

1 .

范围

• 2.

2 .

定义

• 3.

3 .

目的

• 4.

4 .

管理职责

• 5.

5 .

管理内容和要求

• 安装

• 使用

• 升级

• 管理

• 例行检查

22

应急处理预案

• 重大安全问题和相应解决办法的发布；

• 采用相关技术措施，对计算机病毒的源

头进行查找和定位，利用相关的产品进

行查杀；

• 切断源头与网络的连接，断绝计算机病

毒在整个网络种的扩散。

• 采用手动或病毒专杀工具对病毒清除；

• 通过对相关防病毒产品的及时升级，对

病毒进行清除。

23

应急处理预案

• 根据病毒源头的位置所在，可采用

的隔离办法：

• 在不影响相关应用情况下，关闭相关

端口；

• 通过防火墙切断连接；

• 封堵相应IP

地址的访问权限；

• 对于主机可采用物理断开措施等。

24

例：应急处理流程

病毒事件

报警

上报

可能是疑

似，也可能

是反病毒软

件的报警

启动

应急处理

安全应急

处理中心

临时措施

切断感染点

查找病毒源

制定

解决方案

手工/

工具

清除病毒

预防

发文

通知

必要的修补

事后检查

消除临时措施

处理报告、

结论，存档恢复联网系统修补

专家、厂商

搜寻

病毒信息

上报疫情

病毒取样

分析

信息安全

管理机构

检查确诊

25

为什么要选择正版反病毒软件？

• 若反病毒软件本身存在问题，轻则不能

很好地保护计算机不受病毒侵害，严重

的还会影响系统的正常运行，甚至会破

坏本来完好的数据和系统。

• 正版反病毒软件的生产、流通比较正规

• 能够在一定时期内享受厂商提供的服务

• 销售的正版反病毒软件都通过了公安部

的检测，取得销售许可证

• 正版=原厂正式发行版≠原厂beta版

26

单位和个人在病毒防治方面有哪些责任和义务？

• 建立本单位的计算机病毒防治管理制度

• 对本单位计算机信息系统使用人员进行计算

机病毒防治教育和培训

• 采取计算机病毒安全技术防治措施

• 及时检测、清除计算机信息系统中的计算机

病毒，并备有检测、清除的记录

• 使用具有销售许可证的计算机病毒防治产品

• 对因计算机病毒引起的计算机信息系统瘫痪、

程序和数据严重破坏等重大事故及时向公安

机关报告，并保护现场

27

受病毒感染后的修复方法一般有哪些？

• 使用杀毒软件、专杀工具

• 删除病毒文件，手工修复系统

• 用干净的文件覆盖染毒文件

• 格式化重装系统

• 手工杀除病毒__